www.belgium.be Logo of the federal government

Local Privilege escalation vulnerability in Windows OS

Referentie: 
Advisory #2019-010
Versie: 
1.0
Geïmpacteerde software: 
Windows 7 tot en met 10
Windows Server 2008 tot en met 2019
Type: 
Local Privilege escalation
CVE/CVSS: 

CVE-2019-0859 - CVE Score 7.8

Bronnen

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0859
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0859
https://threatpost.com/windows-zero-day-active-exploits/143820/

Risico’s

Er is een Privilege Vulnerability gevonden in Windows, die kan misbruikt worden wanneer het Win32k component er niet in slaagt om geheugen objecten normaal te behandelen.

Een aanvaller die er in slaagt om deze kwetsbaarheid te exploiteren kan code uitvoeren in Kernel modus. De aanvaller kan op deze manier programma’s installeren; data bekijken, veranderen of verwijderen, of nieuwe gebruikers aanmaken.

Beschrijving

De kwetsbaarheid is gevonden door 2 Kaspersky researchers, eerder dit jaar. Volgens hun werd deze kwetsbaarheid actief misbruikt door verschillende APT-groepen als Zero Day.

Een aanvaller met toegang tot het systeem kan speciale applicaties uitvoeren om deze kwetsbaarheid te misbruiken. In de aanvallen die gezien werden door de Kaspersky researchers, bleek dat deze gebruikt worden in multi-stage, waarna de aanvallers een HTTP reverse-shell konden installeren.

Aanbevolen acties

CERT.be raadt administrators aan om hun Windows systemen te updaten naar de laatste versie. Deze patches kan u hier vinden:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0859